Навигация:  Traffic Inspector > Решение задач >

Виртуальные Ethernet-сети

Previous pageReturn to chapter overviewNext page

Суть виртуальных Ethernet-сетей VLAN (Virtual LAN) - создать в рамках одного Ethernet-сегмента несколько виртуальных с функциями ограничения доступа между ними. Это реализуется на базе стандарта IEEE 802.1Q. В этом стандарте описано расширение заголовка Ethernet-пакета, где добавляется номер сети - тег (отметка) VLAN Id. Пакет при этом удлиняется на 2 байта.

 

Использование таких сетей помогает решить некоторые задачи:

 

Ограничение трафика между виртуальными Ehernet-сетями позволяет поднять уровень безопасности сети. Для сети организации можно закрыть прямой трафик между подразделениями; для домовой сети - запретить прямой трафик между пользователями. Бич домовых открытых Ethernet-сетей - это размножение вирусов и их перегрузка неконтролируемым внутренним трафиком. Применение для этого VLAN менее ресурсоемко, намного проще и дешевле, чем деление сети на IP-сегменты роутерами.
Можно жестко привязать пользователя к конкретному порту (или группе портов) коммутатора. Для организации сотрудник будет привязан к своему рабочему месту, в домовой сети - к конкретному кабелю; проблема кражи паролей решается самым надежным способом.
Для большой сети существенно уменьшается нагрузка на сеть широковещательными запросами пользователей.

 

Для реализации этого со стороны пользователя лучше всего его подключить через управляемый коммутатор Level 2 с поддержкой Tag based VLAN (IEEE 802.1Q). В коммутаторе каждому порту назначается номер VLAN Id. Порт может быть настроен для работы в "закрытом" или "открытом" режиме. В "открытом" режиме коммутатор "метит" исходящие пакеты в соответствии с номером VLAN-порта, но разрешает входящие на порт непомеченные пакеты или пакеты "чужим" VLAN. Иными словами, связь между разными виртуальными сетями не закрывается. В "закрытом" режиме коммутатор разрешает прием на порт пользователя пакетов только со своим VLAN, т.е. связь между разными виртуальными сетями закрывается.

 

Такие коммутаторы сравнительно недороги, стоят 10-20$ на порт.

 

Также возможна реализация пометки пакетов со стороны пользователя программными средствами. Многие современные сетевые карты, например от Intel и 3COM, имеют поддержку VLAN, и у их драйверов есть подобные настройки. Но этот вариант мало подойдет для домовой сети, т.к. пользователь сам сможет в настройках драйвера сменить номер VLAN. Кроме того, при программной реализации не получится реализовать привязку пользователя к конкретному порту коммутатора.

 

Со стороны сервера реализация таких задач коммутатором могла бы потребовать у первого наличия намного большего функционала. Стоимость таких устройств довольно высока. А также администратору потребовалась бы дополнительная работа - отдельное ведение в коммутаторе таблиц сетевых адресов пользователей и номеров их VLAN. Но, начиная с версии 1.1.4.196, в Traffic Inspector это все реализовано в самой программе.

 

Для Traffic Inspector требуется лицензия на версию PRO, GOLD или FSTEC. Иначе будет доступна только функция просмотра номера VLAN в отчетах по сетевой статистике.

 

Также на интерфейсе внутренней сети требуется сетевая карта, которая имеет поддержку IEEE 802.1Q. Следует отметить, что под поддержкой подразумевается то, что сетевая карта должна уметь корректно обрабатывать метки VLAN в принимаемых ею из сети Ehernet-пакетах. Никаких других манипуляций с данными от нее не требуется. Как правило, настройки для нее включать не надо. Этой функции не поддерживают очень старые или совсем дешевые карты. Например, популярная Realtek 8139. Все современные и не очень от Intel или 3COM, в принципе, должны работать корректно. Traffic Inspector имеет средства диагностики поддержки сетевой картой необходимого функционала, о чем будет написано далее.

 

Дальнейший порядок настройки сервера и сети следующий.

 

1.Сеть, Интернет и Traffic Inspector должны быть полностью настроены.
2.Пропишите номера VLAN со стороны пользователей в коммутаторах или, если используется программное решение, в настройках драйверов сетевых карт. В зависимости от требуемых задач номера VLAN пользователей назначьте индивидуально или по группам. Включите пока "открытый" режим.
3.В Traffic Inspector запустите мастер сетевых настроек в окне внутренних сетей включите галку поддержки VLAN.
4.Сеть и Интернет у пользователя должны по-прежнему продолжать работать. Запустите у пользователя в цикле ping на любой внешний IP-адрес. Откройте отчет по сетевой статистике пользователя, в колонке атрибутов со значком "#" должен отобразиться номер VLAN-пользователя. Это означает, что сервером приняты помеченные пакеты, т.е. со стороны пользователя все настроено правильно. Если отображается "#???", то это означает, что сетевая карта на сервере для данной задачи не подходит и ее надо заменить.
5.Пропишите у пользователя номер VLAN. Это можно сделать для пользователей индивидуально, а также назначить одинаковый номер для группы пользователей.
6.Включите, если необходимо, функцию контроля политики авторизации. Теперь, если номера VLAN у пользователя не совпадают, он будет блокироваться. Проверьте это, перестроив настройки VLAN у пользователя. Разблокировать пользователя можно в мониторе работы.
7.Для работы пользователя в "закрытом" режиме следует в его настройках прописать сетевые адреса. Это надо для того, чтобы драйвер Traffic Inspector мог правильно пометить исходящие пакеты. Прописывать для пользователя можно MAC- или IP-адрес. Если это VPN-пользователя, то, так как его адрес авторизации отличается от сетевого адреса компьютера, для VLAN сетевые адреса надо прописывать в отдельные поля.
8.Проверьте, загрузились ли эти адреса в таблицы VLAN-драйвера программы. Просмотр размера этих таблиц доступен через функцию "Диагностика, Драйвер" консоли. Информация о VLAN не будет загружаться, если работа пользователя не разрешена или он запрещен. Если для пользователя прописан MAC- и IP-адрес одновременно, то в таблицу будет загружаться только MAC-адрес.
9.Переключите пользователя в "закрытый" режим и проверьте его работу. Пользователю должна быть доступна только связь с самим сервером, Интернетом, с другими пользователями его виртуальной Ethernet-сети, а также всеми другими IP-сетями, которые маршрутизируются через сервер.

 

При остановке службы Traffic Inspector таблицы VLAN в его драйвере очищаются. Поэтому в случае если пользователь работает в "закрытом" режиме, связь с сервером он потеряет, т.к. драйвер Traffic Inspector перастанет "метить" исходящие пакеты.

 

С некоторыми сетевыми картами теоретически может возникнуть еще одна проблема, связанная с ограничением на максимальный размер передаваемого пакета. Для обычного Ethernet-пакета - это 1514 байт, а поддержка VLAN добавляет еще 2 байта. Значение MTU, выдаваемое стеку TCP-/IP-драйвером карты, при этом не модифицируется. Может возникнуть ситуация, что драйвер сетевой карты при передаче начнет отбрасывать такие удлиненные пакеты. Проверить этот факт можно, сделав пинг большим пакетом. Если же все-таки попалась такая сетевая карта, то можно для нее откорректировать MTU для этого интерфейса на 2 байта меньше. Но лучше карту заменить на другую, т.к. уменьшение MTU повлечет дополнительную фрагментацию пакетов и ухудшение быстродействия сети.

 

IEEE 802.1Q - это протокол 2-го уровня. При трансляции пакетов через IP-роутер VLAN-теги теряются. Поэтому все описанное относится только к одному Ethernet-сегменту.

 

Если пользователи настроены на "закрытый" режим работы, то возникает вопрос, где размещать различные общедоступные и системные службы - DNS-сервер, веб-сервер, ftp и т.д. Для этих служб, запущенных на одном сервере с Traffic Inspector, вышеозначенный вопрос не появится. Но если в сети их надо разместить на отдельных серверах, это можно сделать в отдельной IP-подсети, настроив роутинг через сервер с Traffic Inspector.  Для этой цели можно использовать отдельную сетевую карту, например, для DMZ, или можно просто прописать еще одну IP-сеть на внутреннем сетевом интерфейсе.

 


Текущая страница справки: http://help.smart-soft.ru/doc201/index.html?taskvlan.htm

Сайт разработчиков Traffic Inspector